Contrôle de l'accès à partir des points de terminaison d'un VPC avec des stratégies de compartiment
Vous pouvez utiliser des stratégies de compartiment Amazon S3 pour contrôler l'accès aux compartiments à partir de points de terminaison de Virtual Private Cloud (VPC) spécifiques ou de VPC spécifiques. Cette section contient des exemples de stratégie de compartiment qui peuvent être utilisés pour contrôler l'accès aux compartiments Amazon S3 à partir de points de terminaison d'un VPC. Pour apprendre à configurer les points de terminaison d'un VPC, veuillez consulter Points de terminaison d'un VPC dans le Guide de l'utilisateur VPC.
VPC vous permet de lancer des ressources AWS dans un réseau virtuel défini par vos soins. Un point de terminaison VPC vous permet de créer une connexion privée entre votre VPC et un autre service AWS sans que vous ayez besoin d'accéder à Internet, via une connexion VPN, via une instance NAT ou via AWS Direct Connect.
Le point de terminaison d'un VPC pour Amazon S3 est une entité logique au sein d'un VPC qui permet uniquement une connexion à Amazon S3. Le point de terminaison d'un VPC achemine les demandes vers Amazon S3 et les réponses renvoyées au VPC. Les points de terminaison d'un VPC changent uniquement la manière dont les demandes sont acheminées . Les points de terminaison publics Amazon S3 et les noms DNS continuent de fonctionner avec les points de terminaison d'un VPC. Pour obtenir des informations importantes concernant l'utilisation des points de terminaison d'un VPC avec Amazon S3, veuillez consulter Points de terminaison d'un VPC de passerelle et Points de terminaison pour Amazon S3 dans le Guide de l'utilisateur VPC.
Les points de terminaison d'un VPC pour Amazon S3 offrent deux façons de contrôler l'accès à vos données Amazon S3 :
-
Vous pouvez contrôler les demandes, les utilisateurs ou les groupes autorisés à traverser un point de terminaison d'un VPC spécifique. Pour de plus amples informations sur ce type de contrôle d'accès, veuillez consulter Contrôle de l'accès aux services avec des points de terminaison d'un VPC dans le Guide de l'utilisateur VPC.
-
Vous pouvez contrôler quels VPC ou points de terminaison d'un VPC ont accès à vos compartiments en utilisant des stratégies de compartiment Amazon S3. Pour obtenir des exemples de ce type de contrôle d'accès avec stratégie de compartiment, consultez les rubriques suivantes sur les restrictions d'accès.
Rubriques
Lors de l'application de stratégies de compartiment Amazon S3 pour les points de terminaison d'un VPC décrits dans cette section, vous pouvez bloquer involontairement votre accès au compartiment. Les autorisations attribuées à un compartiment dans le but de restreindre l'accès aux connexions issues du point de terminaison de votre VPC peuvent bloquer toutes les connexions à ce compartiment. Pour des informations sur la correction de ce problème, veuillez consulter Ma politique de compartiment n'a pas le bon VPC ou ID de point de terminaison d'un VPC. Comment puis-je corriger la politique de façon à pouvoir accéder au compartiment ?
Restriction de l'accès à un point de terminaison d'un VPC spécifique
Voici un exemple de stratégie de compartiment Amazon S3 qui restreint l'accès à un compartiment spécifique, awsexamplebucket1, uniquement à partir du point de terminaison d'un VPC doté de l'ID vpce-1a2b3c4d. La politique refuse tout accès au compartiment si le point de terminaison spécifié n'est pas utilisé. La condition aws:SourceVpce est utilisée pour spécifier le point de terminaison. La condition aws:SourceVpce ne requiert pas d'Amazon Resource Name (ARN) pour la ressource du point de terminaison de VPC, uniquement l'ID de point de terminaison de VPC. Pour plus d'informations sur l'utilisation de conditions dans une stratégie, consultez Exemples de clés de condition Amazon S3.
-
Avant d'utiliser l'exemple de stratégie suivant, remplacez l'ID de point de terminaison du VPC par une valeur appropriée pour votre cas d'utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.
-
Cette stratégie désactive l'accès au compartiment spécifié, car les demandes de la console ne proviennent pas du point de terminaison du VPC défini.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }
Restriction de l'accès à un VPC spécifique
Vous pouvez créer une stratégie de compartiment qui restreint l'accès à un VPC spécifique en utilisant la condition aws:SourceVpc. Ceci est utile si vous avez plusieurs points de terminaison d'un VPC configurés pour le même VPC et que vous voulez gérer l'accès à vos compartiments Amazon S3 pour tous vos points de terminaison. Voici un exemple de politique qui refuse l'accès à awsexamplebucket1 et ses objets à toute personne extérieure au VPC vpc-111bbb22. La politique refuse tout accès au compartiment si le VPC spécifié n'est pas utilisé. Cette instruction n'autorise pas l'accès. Pour cela, vous devez ajouter une instruction d'autorisation distincte. La clé de condition vpc-111bbb22 ne requiert pas d'ARN pour la ressource VPC, uniquement l'ID du VPC.
-
Avant d'utiliser l'exemple de stratégie suivant, remplacez l'ID du VPC par une valeur appropriée pour votre cas d'utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.
-
Cette stratégie désactive l'accès au compartiment spécifié, car les demandes de la console ne proviennent pas du VPC défini.
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }
